Shiro 反序列化漏洞靶场

admin 2024年5月19日02:02:37评论3 views字数 984阅读3分16秒阅读模式
关注网络安全资源库,优质文章及时送达

1.漏洞描述

Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。

Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。

2.漏洞简单分析

Shiro提供了一种下次访问时无需再登录就可访问的功能,即“记住我”功能。Shiro对rememberMe的字段做了加密处理,在CookieRememberMeManaer类中将cookie的字段依次进行序列化->AES加密->Base64编码。当需要识别用户身份时,会对cookie中rememberMe字段进行解密,其顺序依次为base64解码->解密AES->反序列化

在这个过程中,我们发现AES密钥非常关键,但很不幸,密钥被硬编码到了代码中,也就意味着使用shiro组件的业务,其默认的AES密钥都是一样的。因此,攻击者可以构造一个恶意对象,并且进行序列化->AES加密->Base64编码后,作为cookie中rememberMe字段进行发送,Shiro将收到的rememberMe字段进行解码、AES解密、反序列化后,最终执行了一个恶意代码,造成反序列化漏洞。

Shiro 反序列化漏洞靶场

3.漏洞验证

3.1 使用shiro_exploit.py进行利用,尝试写入文件jason123.txt

python shiro_exploit.py -t 3 -u http://192.168.233.134:8080 -p "touch jason123.txt"

Shiro 反序列化漏洞靶场

3.2 登陆到目标靶机,发现文件成功写入,说明漏洞存在。

Shiro 反序列化漏洞靶场

4.深度利用

4.1 尝试深度利用,在kali服务器上使用nc监听6666端口

nc -lvp 6666

Shiro 反序列化漏洞靶场

4.2 使用Base64编码进行加密,保证命令成功执行,防止参数被类破坏。

Shiro 反序列化漏洞靶场

4.3 使用exp执行反弹shell

Shiro 反序列化漏洞靶场

4.4 成功获取shell,反弹成功

Shiro 反序列化漏洞靶场

文章转自KALC,侵删

原文链接:https://mp.weixin.qq.com/s/tf5lxNHevmiqdZ56bJmlJQ

Shiro 反序列化漏洞靶场

安全技术交流群,请扫码备注【加群】

Shiro 反序列化漏洞靶场

原文始发于微信公众号(网络安全资源库):Shiro 反序列化漏洞靶场

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月19日02:02:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Shiro 反序列化漏洞靶场https://cn-sec.com/archives/2033242.html

发表评论

匿名网友 填写信息